Comments (15)
@HToTH 这个不是工具的问题,连接被拒绝,可能是端口占用或者其它问题。讲道理,这个能输出命令就和antsword无关。还有啊,保存文件这个问题,要是没权限你ls -l看一看不就知道了吗?
from antsword.
@HToTH 感谢反馈,在这里讨论一下你提的几点:
- 密码不显示的原因,一定程度上是为了你在给旁边人装逼的时候不会被人记下。至于这个要不要直接显示,有待讨论。如果你自己要显示,可以修改
source/modules/shellmanager/index.jsx
第 228 行,将password
修改成input
。 - 你说的这个复制,是指导出,还是说复制某条数据呢?如果是复制某个数据,这张图演示的应该是可以的?
- 这个已经在 #36 提到了
- 不知道你说的编码是指的
Ecode
,还是指的Encoder
? 可否给出详细说明呢? - 上传文件,直接到要上传的目录下,将要上传的文件拖进去,就会上传。或者在该目录下,右键,点 Upload 会弹出文件选择框。一直是不需要用户输入文件路径和文件名的。或许你说的是别的功能?
- 能否给出具体说明和原因,给的这个信息我们也无法判断。
- 针对第 7 点中的两个问题:
- “返回的消息尽量的多一些”。 这个是指返回数据的条数吗?这个是 SQL 语句决定的,后面有个
Limit 0,20
可以自己决定返回多少。如果对方表里面没数据,返回的数据也不会那么多的。 - 执行无回显的没结果,这个确实是存在的,已经加入到开发计划当中了,感谢指出。
from antsword.
前面的有些问题描述不准确
第三点编码是:
这一步可以试着用程序去完成这一步,因为马写的复杂之后就各种变异,有时候要测试几次才能进去。
第6点继续补充下就是,执行命令的时候,返回的信息太少,不知道命令执行成功没有。很多时候只有菜刀才能执行成功,具体的我也不知道,因为没有回显。
你们做的真的挺好的,修改代码的时候,还会有错误提示#。#希望你们越做越好
from antsword.
- 关于你上面说的 encoder 这里,其实这些 encoder 只是传输上编码加密的方式不同,对于一个 shell 来讲,其实每一种 encoder 都是支持的。不过有一些特定的 shell 是需要特定的 encoder。如果程序自动判断,个人觉得没多大必要,并且不好去判断,什么时候去判断呢?如果后面这个 shell 被修改了呢?
- 至于你说的命令执行返回结果信息有点少的问题,这个你打开一下 cmd 随便输入一个不存在的命令,看一下显示出来的结果就知道了。
from antsword.
现在终于找到一个实例了,菜刀能成功,但是蚁剑不能成功,你们看看是怎么回事啊#。#
from antsword.
补充第八点就是,保存文件的时候,不能保存成功的原因是什么我觉得应该提示出来,权限不足,还是404,还是其他的原因
from antsword.
@HToTH
命令执行这里, @aa2288207 说的非常正确啊。一般写文件不成功,我能想到的就是权限不足和磁盘满了,讲道理,后面这种情况几乎是见不到的。所以没有必要对这个判断。你说的 404,是访问的时候的问题,跟写入文件不是一回事哈。
from antsword.
@HToTH
欢迎查看代码source/core/php/template/filemanager.js
line 18 create_file
模板代码。
在这可以分析出,针对写入的文件结果只有两个,1或0,所以是不可能通过这个0去判断到底是权限还是其他什么原因,除非,自己加个验证代码。(当然,针对模板代码的增强,我们后边会在大功能完成的时候考虑重写的 :)
from antsword.
哦哦,好吧
from antsword.
@aa2288207 同一台机子下,执行相同的命令,菜刀能反弹出去。哎,我也纠结了好久,实在是搞不懂
from antsword.
@aa2288207同一台机子下,执行相同的命令,菜刀能反弹出去。哎,我也纠结了好久,实在是搞不懂
@HToTH 因为你使用的是bash反弹,antSword默认终端是/bin/sh。可以在"编辑数据--其他设置--自定义终端执行路径"设置成/bin/bash。 建议作者可以把默认终端设置成/bin/bash @Medicean
from antsword.
@Curz0n 很多机器上面没有 bash 只有 sh, 尤其是 docker 里。这样行不行,加个全局的默认自定义配置,在没有单独设置的时候,从全局设置里取?
from antsword.
@Medicean 可以实现bash失败了自动切换成sh吗? 或者在开启终端的时候先发一个请求探测下支持什么shell?
from antsword.
@Curz0n 好提议。加一条特殊的本地指令aslistcmd
,然后自动去查找指定的几个路径:
Linux
/bin/sh
/bin/bash
/bin/zsh
/bin/ash
/bin/busybox
Windows:
C:\\Windows\\System32\\cmd.exe
输出比如这样:
* `/bin/sh` [OK]
* `/bin/bash` [FAIL]
* `/bin/zsh` [FAIL]
* `/bin/ash` [OK]
* `/bin/busybox` [OK]
from antsword.
@Medicean 👍👍👍
from antsword.
Related Issues (20)
- v2.1.15版本不支持Linux HOT 4
- antSword-2.1.15 php webshell 查询数据库报错 HOT 1
- burp代理服务器无法代理,但burp可以抓取浏览器的数据包 HOT 1
- 数据库连接端口设置 HOT 4
- 关于base64出现的一些报错 HOT 7
- BUG:此处需要物件 HOT 2
- 为什么不支持$_GET类型的啊 HOT 4
- 客户端连接报错:"code":"DEPTH_ZERO_SELF_SIGNED_CERT" HOT 1
- 为什么我初始化后打开只显示一只猫 HOT 3
- 在linux上启动报错 HOT 1
- php webshell 连接mysql数据库执行SQL语句卡死一直转圈 HOT 2
- 连接的时候,左侧报错是什么原因? HOT 1
- 数据库执行失去了
- 我想问一下为啥下完后火绒报毒了,我在网上搜了一大堆也没整明白。(说有后门病毒)
- burpsuite的CA证书 HOT 1
- 关于流量双端加密的建议
- 蚁剑设置好代理,bp抓不到流量 HOT 5
- how it work? HOT 1
- 命名冲突 HOT 1
- Error:Cannot find module './Mime' HOT 2
Recommend Projects
-
React
A declarative, efficient, and flexible JavaScript library for building user interfaces.
-
Vue.js
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
-
Typescript
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
-
TensorFlow
An Open Source Machine Learning Framework for Everyone
-
Django
The Web framework for perfectionists with deadlines.
-
Laravel
A PHP framework for web artisans
-
D3
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
-
Recommend Topics
-
javascript
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
-
web
Some thing interesting about web. New door for the world.
-
server
A server is a program made to process requests and deliver data to clients.
-
Machine learning
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
-
Visualization
Some thing interesting about visualization, use data art
-
Game
Some thing interesting about game, make everyone happy.
Recommend Org
-
Facebook
We are working to build community through open source technology. NB: members must have two-factor auth.
-
Microsoft
Open source projects and samples from Microsoft.
-
Google
Google ❤️ Open Source for everyone.
-
Alibaba
Alibaba Open Source for everyone
-
D3
Data-Driven Documents codes.
-
Tencent
China tencent open source team.
from antsword.